Cyber espionaje. ataques dirigidos

1,185 views
1,056 views

Published on

Evolución del malware para su uso en operaciones de espioaje industrial y corporativo.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,185
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
43
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Cyber espionaje. ataques dirigidos

  1. 1. Cyber-espionajeAtaques dirigidos con motivaciones de espionajeindustrial y corporativoLuis Ángel FernándezeCrime IntelligenceBarcelona DigitalJunio de 2011 @LuisFer_Nandez
  2. 2. Who am I Ataques dirigidos Who am I?- Luis Ángel Fernández - Investigador eCrime en BDigital Tech Center- Bio - 12 + 1 años white-hatted en el sector de la seguridad IT - Respuesta a incidentes para el sector financiero en Europa, EEUU y Latinoamérica. - Operaciones especiales Servicios de Inteligencia - Últimos 5 años como responsable de operaciones del Anti-Fraud Command Center de Telefónica: SOC como campo de batalla - Definición servicios de seguridad desde SOCs - Background técnico, pentesting y reversing - No, no tengo Facebook, ni LinkedIn
  3. 3. Ataques dirigidos Evolución de cyber-amenazasPleistoceno - Juego Corewar, ideado en los laboratorios Bell en 1949
  4. 4. Ataques dirigidos Evolución de cyber-amenazasPrehistoria Los 70: - Primeras piezas de malware en mainframe - Primer virus que se auto-propagaba por red - Primeros gusanos, todos bienintencionados - Motivación experimental y académica Los 80: - Popularización del PC y primeras epidemias - Primeros casos de phishing en mainframe - Primeros troyanos en BBS - Motivación no sólo experimental
  5. 5. Ataques dirigidos Evolución de cyber-amenazasEdad Media (1990 – 1998) - Arranca la carrera contra los antivirus - Nace el polimorfismo - Primeros virus toolkits: DIY! - Windows 95 e Internet: primeras epidemias mediante infección de documentos Office - Motivación: retos técnicos y reputación
  6. 6. Ataques dirigidos Evolución de cyber-amenazasEdad Moderna (1998– 2001) - Se consolida la Sociedad de la Información - Primeras infecciones masivas por eMail - Consolidación de estándares de seguridad IT - SPAM: 1ª actividad profesional de la escena eCrime - Motivación: de lo reputacional a lo económico
  7. 7. Ataques dirigidos Evolución de cyber-amenazasRevolución Industrial (>2001) - BotNets: cimientos de la economía underground - Gran sofisticación del malware - Aplicación de modelos de negocio - Profesionalización de actividades - Motivación: exclusivamente económica
  8. 8. Ataques dirigidos Evolución de cyber-amenazasINDUSTRIALIZACIÓN DEL CRIMEN ELECTRÓNICO
  9. 9. Ataques dirigidos Escena eCrimeSPAM: la primera spin-off eCrime
  10. 10. Ataques dirigidos Escena eCrimeBotNets: cimientos de economía eCrime
  11. 11. Ataques dirigidos Evolución de cyber-amenazas Proxy Screenlogger Updates DDoSKeylogger CORE Code injection Acceso Form remoto grabber
  12. 12. Ataques dirigidos Escena eCrime Hello malware, what do you want to do Déjame today? preguntar al jefe… RING 3API Functions
  13. 13. Ataques dirigidos Escena eCrime eCrime as a service Servicios profesionales Dan pie a nuevas tecnologías (licencias, SLAs, mantenimiento…) Envío de SPAM Anti-SPAM, servicios de reputación Ataques DDoS IDS/IPS, elementos perimetrales DIY crimeware Antivirus (ZeuS, SpyEye, Carberp, etc)Alojamiento distribuido (phishing/malware/etc) Servicios Anti-Phishing (SOCs / CERTs) Mejora de protecciones en sistemas operativos Exploit kits (ASLR, DEP, /GS, /SAFESEH, SEHOP, protecciones Heap..) Inyecciones ad-hoc, suited malware Monitorización de los transaccionales + Robo y duplicación de tarjetas repositorios de inteligencia Click-hijacking, traffic sale, rent-a-hacker, rent-a-coder, etc, etc, etc
  14. 14. Ataques dirigidos Escena eCrimeMalware modular… - BotNets polivalentes - Catálogo de servicios ampliable, dependiente del volumen y ubicación de los zombies - Multi-plataforma, módulos portables entre diferentes familias
  15. 15. Ataques dirigidos Escena eCrimeMalware modular… y multiplataforma - Windows (XP, Vista, 7, 2008R2…) - Android, iPhone, iPad, Java (!) Weyland-Yutani, primer crimeware kit para Mac
  16. 16. Ataques dirigidos Escena eCrimeMalware modular
  17. 17. Ataques dirigidos Escena eCrimeDetección de antivirus Toolkit popular SpyEye v1.3 (versión de marzo 2011) Junio: el 97,6% no lo detectan tras su generación 24h más tarde el 54,75% siguen sin detectarlo
  18. 18. Ataques dirigidos Escena eCrimeFuente: Panda Labs Samples ÚNICOS por año ~70.000 al día (!!)
  19. 19. Ataques dirigidos Escena eCrime
  20. 20. Ataques dirigidos Escena eCrimeWhat’s next??
  21. 21. Ataques dirigidos Spying as a ServiceSaaS: Spying as a Service
  22. 22. Ataques dirigidos Spying as a Service Activación Captura de SMS, cámara eMail… Buscar documentos Captura de tráfico Payload contra COREobjetivo concreto Activación micrófono Acceso remoto Acceso a GPS
  23. 23. Ataques dirigidos Spying as a ServiceClasificación por motivación Financiera Recursos IT Inteligencia (ZeuS, SpyEye, Torpig, (DDoS, SPAM, hosting…) (Información) Odjob…)
  24. 24. Ataques dirigidos Spying as a ServiceA P T dvanced¿ Affiliate Based Attack ? ersistent hreat ¿ Just Another Trojan ? ¿ Subersive Multi-Vector Thread ?
  25. 25. Ataques dirigidos Spying as a Service¿Diferencias? Malware DIY - Phishing / P2P / Drive-by / Gusanos - Exploit packs - Persistencia a cualquier precio: ruidoso - Polivalentes, actualizables - S, M, L, XL, XXL Malware dirigido - Phishing / Ingeniería social / Drive-by - 0-day, vuln-hunters - Persistencia, silencio - Objetivo concreto - Traje a medida
  26. 26. Ataques dirigidos Spying as a ServiceAtaques oportunistas (fuego a discreción)- Buscan la mayor dispersión posible- Aprovechan eventos sociales como anzuelo- Se ofrecen como un servicio más del catálogo- Alquiler de espías por tiempo- $$$Ataques dirigidos (francotirador)- Compañías / perfiles / personas concretas- Labor previa de investigación- Operaciones planificadas y secretas- Coste elevado- Compañías y servicios de inteligencia- $$$$$$
  27. 27. Ataques dirigidos Spying as a ServiceAlquiler de espías en compañías infectadas Skills requeridos:
  28. 28. Ataques dirigidos Spying as a ServiceFases de una operación de cyber-espionaje - Traspasar el perímetro - Comprometer el objetivo - Establecerse y esconderse - Capturar la información - Trasmisión de datos
  29. 29. Ataques dirigidos Spying as a ServiceFase 1: Ingeniería social
  30. 30. Ataques dirigidos Spying as a ServiceFase 2: Dentro del perímetro - Asentamiento y ocultación - Information gathering - Acceso remoto - Escalado de privilegios - Búsqueda de recursos
  31. 31. Ataques dirigidos Spying as a ServiceFase 3: Extracción de información - Documentación / credenciales / grabaciones - Cifrado y uso de canales habituales - Imitación del perfil de comportamiento - Persistencia o autodestrucción
  32. 32. Ataques dirigidos Spying as a Service¿Quién demanda estos servicios? - Tus competidores - Caza-recompensas - Gobiernos y Servicios de Inteligencia
  33. 33. Ataques dirigidos Spying as a ServiceVayamos de compras Item Setup Mensual Anual Remote Access Tool Free Free Free Servicio de phishing dirigido $2.000 $2.000 $24.000 • Garantía de entrega, soporte 24x7 2 vulnerabilidades 0-day $40.000 • Garantía de reemplazo si se solucionan Rent-a-hacker (10 días) $20.000 • Escalado de privilegios, network discovery, etc TOTAL. . . . . . . . . . . . . . . . . . . . . . . . . . $62.000 $2.000 $24.000
  34. 34. Ataques dirigidos Spying as a Service
  35. 35. Ataques dirigidos Spying as a Service¿Cómo podemos defendernos? - Antivirus… KO - DEP? ASLR? SEHOP?... KO - Seguridad perimetral… KO - DLP… KO - 27001? ITIL? Of course, necesitamos la ISO - Gestión centralizada? EPO?? HIDS? Sondas? - SIEMs… OK, ¿qué fuentes? ¿qué logs?
  36. 36. Ataques dirigidos Spying as a Service GapsMin Antivirus Protecciones Seguridad DLP ISO, etc SO perimetral
  37. 37. Ataques dirigidos Spying as a Service¿Dónde enfocamos la defensa? - El hacking romántico ya no es rentable para la industria eCrime: tranquilo, tus servidores están a salvo - Objetivo ideal: eslabón débil + acceso a activos - Drive-by (navegación, email, etc) - USB devices - Redes sociales - Smartphones
  38. 38. Ataques dirigidos Spying as a ServiceOk, seamos realistas - Cumplamos con los requerimientos de seguridad IT de nuestra actividad - Implantemos mecanismos de detección y Business Intelligence - Acotemos al máximo los vectores de ataque - Y asumamos que estamos o estaremos infectados
  39. 39. Ataques dirigidos Spying as a Service…
  40. 40. Ataques dirigidos Spying as a Service
  41. 41. Cyber-espionajeAtaques dirigidos con motivaciones de espionajeindustrial y corporativoLuis Ángel FernándezeCrime IntelligenceBarcelona DigitalJunio de 2011 @LuisFer_Nandez

×